Siloscape Malware

Siloscape - это необычное вредоносное ПО, которое стремится достичь кластеров Kubernetes. Обычно этот тип угроз сосредоточен на системах Linux, поскольку это наиболее широко используемая ОС (операционная система), когда дело доходит до управления облачными приложениями и средами. Однако Siloscape - это первая наблюдаемая вредоносная угроза, специально созданная для взлома контейнеров Windows. Затем злоумышленник попытается установить бэкдор в кластерах Kubernetes, которые не были правильно настроены для запуска вредоносных контейнеров.

Функциональность Siloscape Malware

Siloscape распространяется в виде файла с именем CloudMalware.exe. Угроза использует известные уязвимости для получения несанкционированного доступа к серверам, веб-страницам и базам данных. По словам исследователей информационной безопасности из подразделения 42 Palo Alto Networks, которые проанализировали вредоносное ПО, Siloscape склоняется к использованию сервера, а не изоляции Hyper-V. После установки в скомпрометированной системе угроза инициирует различные методы выхода из контейнера Windows, чтобы установить удаленное выполнение кода (RCE) на нижележащем узле контейнера. Один из таких методов заключается в том, что Siloscape принимает на себя идентификацию службы образов контейнера SExecSvc.exe, что позволяет вредоносной программе получать привилегии SeTcbPrivilege.

В конечном итоге, если Siloscape будет успешным, он сможет создавать вредоносные контейнеры, собирать данные из приложений, активных в кластере нарушений, или развертывать криптомайнер, который захватывает аппаратные ресурсы системы для скрытой генерации монет выбранной криптовалюты.

Повышенное внимание к скрытности

Siloscape сильно запутан, чтобы избежать обнаружения контрмерами безопасности и препятствовать попыткам обратного проектирования. Функции и имена модулей угрозы деобфускируются только во время выполнения, в то время как пароль для сервера Command-and-Control (C2, C&C) дешифруется с помощью пары жестко закодированных ключей. Фактически, каждый экземпляр Siloscape использует разные пары ключей, что сильно отличает его от других двоичных файлов угроз.

Для доступа к своему C2-серверу SIloscape полагается на прокси-сервер Tor и домен .onion. Исследователи Unit 42 смогли получить доступ к серверу операции и смогли идентифицировать 23 активных жертвы, всего 313 жертв. Хакеры заметили внешнее присутствие в течение нескольких минут и быстро отключили службу на этом адресе .onion.